การสำรวจและประเมินค่าทรัพย์สิน
ขั้นตอนที่สำคัญที่สุดของกระบวนการกำหนดขอบเขตเป็นสิ่งที่กำหนดว่าจะทำหรือไม่ทำในระหว่างการประเมิน และเป็นการระบุว่าอะไรที่เราจะปกป้อง
ความสำคัญของสิ่งที่เราพยายามจะปกป้อง และจะปกป้องถึงระดับไหนและละเอียดเพียงใด การกำหนดขอบเขตยังเกี่ยวข้องกับว่าระบบใด
หรือแอพพลิเคชั่นกล้องวงจรปิดใดที่จะถูกประเมินบ้าง ทรัพย์สินแต่ละประเภทที่จะประเมินค่าความสำคัญด้านความมั่นคงปลอดภัย
โดยพิจารณาความสำคัญของระบบงานที่เกี่ยวข้องกับธุรกิจหลักขององค์กร โดยทรัพย์สินที่มีมูลค่าสูงจะต้องนำมาประเมินความเสี่ยงเป็นลำดับต้น ๆ
โดยพิจารณาความสำคัญของระบบงานที่เกี่ยวข้องกับธุรกิจหลักขององค์กร โดยทรัพย์สินที่มีมูลค่าสูงจะต้องนำมาประเมินความเสี่ยงเป็นลำดับต้น ๆ
อุปกรณ์แนะนำ : รั้วไฟฟ้ากันขโมย กล้องวงจรปิด สัญญาณกันขโมยไร้สาย
การระบุภัยคุกคาม การชี้ให้เห็นถึงความเสี่ยงที่หน่วยงาน กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจหน่วยงาน ภารกิจและกิจกรรม
สิ่งแวดล้อม กฎหมาย สังคม การเมือง และวัฒนธรรมพัฒนาการและปัจจัยที่มีต่อความสำเร็จของหน่วยงาน โอกาสและภัยคุกคามที่มีต่อหน่วยงาน
การระบุภัยคุกคามควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุก ๆ ด้านของหน่วยงาน การมีภัยคุกคามอาจส่งผลให้เกิดการละเมิดความมั่นคงปลอดภัยสารสนเทศและส่งผลเสียตามมา
ภัยคุกคามที่เกิดจากปัจจัยภายนอกอาจเข้ามาทำลายหรือก่อให้เกิดความเสียหายต่อข้อมูลและทรพัย์สินขององค์กร ภัยคุกคามนี้อาจแบ่งได้เป็นหลายประเภท เช่น
- ภัยคุกคามจากคนภายในองค์กร
- ภัยคุกคามจากคนภายในองค์กร
- ภัยคุกคามจากคนภายนอกองค์กร
- ภัยธรรมชาติ
- ภัยคุกคามจากสภาพแวดล้อมที่ไม่เหมาะสม
สิ่งที่อาจจะเกิดขึ้นและมีอันตรายต่อทรัพย์สิน ภัยคุกคามนั้นประกอบด้วย 3 ส่วนคือ
- เป้าหมาย การโจมตีแบ่งได้หลายระดับ การโจมตีเป้าหมายทางกายภาพ ระดับถัดมาก็จะป็นการโจมตีทางเครือข่าย
ส่วนเป้าหมายของการโจตีในที่นี้คือองค์ประกอบต่าง ๆ ของการรักษาความปลอดภัย คือ ความลับ ความถูกต้อง และความพร้อมใช้งานของข้อมูล ซึ่งภัยคุกคามแต่ละด้านขึ้นอยู่กับเหตุผลหรือแรงจูงใจ
- ผู้โจมตี ผู้ที่กระทำการใด ๆ ที่ก่อให้เกิดผลกระทบทางด้านลบกับเป้าหมาย ผู้โจมตีในทีนี้ต้องทำหรือมีคุณสมบัติ ดังนี้คือ การเข้าถึง ความรู้ แรงจูงใจ พนักงาน พนักงานเก่า แฮคเกอร์ และศัตรูหรือคู่แข่ง
- เหตุการณ์ สิ่งที่เกิดจากการที่ผู้โจมตีทำอันตรายต่อองค์กร เช่น แฮคเกอร์อาจทำอันตรายด้วยการแก้ไขหน้าเว็บไซต์ขององค์กร เช่น การแก้ไขข้อมูลที่สำคัญทั้งที่ตั้งใจและไม่ได้ตั้งใจ การเจาะเข้าระบบโดยไม่ได้รับอนุญาต เป็นต้น
- ผู้โจมตี ผู้ที่กระทำการใด ๆ ที่ก่อให้เกิดผลกระทบทางด้านลบกับเป้าหมาย ผู้โจมตีในทีนี้ต้องทำหรือมีคุณสมบัติ ดังนี้คือ การเข้าถึง ความรู้ แรงจูงใจ พนักงาน พนักงานเก่า แฮคเกอร์ และศัตรูหรือคู่แข่ง
- เหตุการณ์ สิ่งที่เกิดจากการที่ผู้โจมตีทำอันตรายต่อองค์กร เช่น แฮคเกอร์อาจทำอันตรายด้วยการแก้ไขหน้าเว็บไซต์ขององค์กร เช่น การแก้ไขข้อมูลที่สำคัญทั้งที่ตั้งใจและไม่ได้ตั้งใจ การเจาะเข้าระบบโดยไม่ได้รับอนุญาต เป็นต้น
ไม่มีความคิดเห็น:
แสดงความคิดเห็น